00:00On commence tout de suite ce Lex Insight, on va parler fraude au paiement, les arnaques se multiplient, faux conseillers bancaires, SMS frauduleux, mails piégés.
00:21Qu'en est-il de la responsabilité des banques face à cette situation ? On en parle tout de suite avec mon invité, Marie Polygone, associée au sein du cabinet Erigone.
00:32Marie Polygone, bonjour.
00:34Bonjour Arnaud.
00:35Je viens d'évoquer la situation explosive en matière de fraude au paiement. Comment expliquez-vous cette situation avec une recrudescence d'arnaques ?
00:47Aujourd'hui, la fraude bancaire s'est stabilisée à environ 1,2 milliard d'euros.
00:54Et effectivement, on peut dire qu'il y a une forme de recrudescence importante qui s'est caractérisée par une recrudescence des fraudes liées au numérique,
01:02qui était environ 30% des fraudes en 2017 et qui sont aujourd'hui plus de 50% des fraudes.
01:08Et ce qu'on constate maintenant véritablement, enfin une tendance importante, c'est que face à ce phénomène,
01:12les banques ont vraiment renforcé tout ce qui est sécurité bancaire, authentification sécurisée des opérations bancaires.
01:19Et donc, les fraudeurs doivent se regorger de d'inventivité et s'appuient principalement sur des manipulations faites par les victimes.
01:28Donc, les nouvelles typologies de fraude laissent une place importante aux opérations faites par les victimes elles-mêmes.
01:34C'est le cas par exemple des opérations qu'on appelle de spoofing.
01:36C'est des opérations dans le cadre desquelles l'escroc va se faire passer pour la banque,
01:43donc appeler d'un numéro qui serait comme le numéro de la banque, la victime,
01:48qui va ensuite devoir authentifier des opérations de paiement en direct, faire des virements frauduleux,
01:52pensant parler à son conseiller bancaire.
01:55Une autre de ces nouvelles typologies, c'est ce qu'on appelle le phishing ou hameçonnage.
02:00La fraude consiste dans ces cas-là en un email reçu et donc la victime doit cliquer sur un lien
02:08qui est ensuite redirigé vers un faux espace bancaire ou alors elle doit répondre à un mail avec ses coordonnées bancaires.
02:14Donc, il y a une action de la victime.
02:15Exactement. Il y a une manipulation faite par la victime dans cette typologie de phishing.
02:21Il y a aussi un moyen un peu dérivé du phishing qu'on appelle le smishing, c'est le phishing par SMS.
02:27Ou pareil, encore une manipulation de la victime, c'est également le cas de ce qu'on appelle les fraudes aux coordonnées bancaires
02:32où là, ça vise plutôt des entreprises et donc l'escroc va se faire passer pour un partenaire commercial de l'entreprise.
02:38Donc, ça implique qu'il ait quand même une bonne connaissance de l'entreprise en tant que telle,
02:41qu'il ait pu, grâce au numérique, infiltrer un peu les systèmes informatiques de l'entreprise,
02:46se faire passer pour un partenaire commercial et donner son propre RIB en prétextant un changement de RIB de la part du partenaire commercial
02:53pour bénéficier des fonds détournés.
02:56Et enfin, et là, c'est une typologie un peu...
02:59Enfin, c'est encore assez proche, la fraude au président, où là, cette fois-ci, l'escroc va se faire passer pour le président,
03:06le directeur d'une entreprise et donc dire au collaborateur, faites un virement à telle ou à telle entité qui sera un partenaire.
03:12Le dernier cas qui est un peu différent, mais assez fréquent en présent, en 2024, c'est la fraude par skimming.
03:22De quoi s'agit-il ?
03:23Et là, c'est en fait le terminal de paiement qui est détourné.
03:28Et donc, quand on insère sa carte bleue, toutes les données sont récupérées et donc des fraudes peuvent avoir lieu.
03:34Donc, c'est une fraude liée au numérique, mais en physique, puisque c'est les terminaux de paiement directement qui sont ciblés au sein des bars, restaurants...
03:42On voit que les escrocs sont de plus en plus ingénieux.
03:47Comment les victimes peuvent-elles se protéger face, justement, à ces escrocs ? Quel est le cadre légal ?
03:54Alors, le cadre légal, il est vraiment protecteur de la victime, puisque dans ce type de fraude, c'est souvent très difficile de retrouver les fraudeurs.
04:01Donc, la loi prévoit, c'est l'article L133-18 du Code monétaire et financier, que la banque est par principe tenue de rembourser le montant des opérations qui ont été non autorisées.
04:11Donc, c'est la banque qui doit rembourser les fonds détournés.
04:14Pour rentrer un tout petit peu plus dans le détail, pour savoir si la banque doit rembourser ou pas, il y a ce qu'on appelle une sorte d'arbre décisionnel,
04:21où la première question qui doit se poser, c'est est-ce que l'opération qui est contestée par le client a été autorisée ?
04:26C'est à la banque de prouver que l'opération est autorisée. Et là où c'est très difficile pour la banque, c'est qu'il ne suffit pas de montrer que les modes de paiement sécurisés,
04:34donc le code SMS, l'espace sécurisé ont été utilisés, pour dire que l'opération a été authentifiée et autorisée.
04:41C'est ce qu'il faut alors ?
04:42Malheureusement, c'est une preuve impossible. En fait, la banque ne peut pas prouver que l'opération est autorisée.
04:46Si le client ne dit que ce n'est pas autorisé, l'opération est considérée comme non autorisée.
04:49Donc, elle rembourse. Elle est obligée de rembourser.
04:51On passe à la deuxième question qui est, est-ce qu'il y a eu une fraude ? Est-ce que la banque est en mesure de prouver une fraude de la victime ?
04:58Si la banque peut prouver que c'est la victime qui, en fait, elle-même a monté, a fait tout un montage pour faire comme si elle avait été escroquée,
05:04pour se faire rembourser des opérations qu'elle allait elle-même passées, la banque ne rembourse pas.
05:08Si elle n'arrive pas à porter la preuve d'une fraude, on arrive à la troisième question.
05:11Est-ce que l'opération a été authentifiée selon les moyens sécurisés ?
05:15Si ce n'est pas le cas, et donc c'est là où la banque a quand même une responsabilité importante,
05:21c'est pour inciter les banques à sécuriser l'ensemble du système de paiement.
05:25Si l'opération n'a pas été passée avec des codes, donc le code SMS, avec la validation sécurisée,
05:30dans ces cas-là, la banque doit rembourser, peu important la négligence ou non, de la victime de la fraude.
05:35Si l'opération a été sécurisée, et là, c'est là où on arrive à ce qui concentre l'ensemble du contentieux,
05:41la question qui va se poser, c'est la victime a-t-elle ou non commis une négligence grave ?
05:44C'est quoi une négligence grave ?
05:46Si la victime a commis une négligence grave, dans ces cas-là, la banque ne rembourse pas.
05:50Si la victime n'a pas commis de négligence grave, la banque rembourse.
05:53Est-ce que le fait de cliquer, par exemple, sur un lien qui est envoyé par SMS, c'est une négligence grave ?
05:59C'est une très bonne question, parce que sur cette question, la jurisprudence a été amenée à se prononcer,
06:04et elle est particulièrement sévère en matière de phishing,
06:06puisqu'effectivement, elle considère que le fait de cliquer sur un lien envoyé par SMS est une négligence grave,
06:12quand il a permis la fraude.
06:13Là où il y a quand même une subtilité qui est assez favorable aux victimes,
06:16c'est que c'est à la banque d'apporter la preuve que la victime a cliqué sur ce lien en SMS.
06:20Et très souvent, la banque n'a pas cette preuve, puisque ça a eu lieu sur le portable de la victime,
06:23et donc elle ne peut pas prouver.
06:25Souvent, ce qui apporte la preuve, c'est que la victime, parallèlement, fait une plainte pénale,
06:28et dans le cadre de l'enquête pénale, on peut parfois réussir à remonter aux origines de la fraude,
06:32et donc à démontrer qu'effectivement, la victime a cliqué sur un lien envoyé par SMS, sur un email,
06:37et que c'est cela qui a permis la fraude.
06:39Mais c'est une preuve assez difficile à apporter.
06:40Alors, la négligence grave, est-ce que c'est une notion objective,
06:45ou elle est laissée à l'appréciation des juges ? Comment ça se passe ?
06:49Alors, c'est une notion qui n'est pas définie par le Code monétaire et financier.
06:52On a uniquement un article, donc l'article L133-18,
06:56qui vient dire que, quand la fraude a eu lieu en cas de négligence grave de la part du payeur,
07:03donc de la victime, qui n'a pas permis d'assurer la sécurité de ses moyens de paiement,
07:09la banque n'est pas tenue à remboursement.
07:11Mais il n'y a pas de définition précise de ce qu'est cette négligence grave.
07:15Donc, c'est la jurisprudence qui a eu le rôle de définir et de fixer le curseur de qu'est-ce qu'une négligence grave.
07:21Donc, en général, on a quelques cas casuistiques.
07:24C'est assez casuistique, c'est vraiment cas par cas.
07:26Donc, pour deux fraudes qui peuvent sembler similaires,
07:28parfois on va dire que la victime a été négligente, parfois ce n'est pas le cas.
07:30Il y a des cas un peu évidents, par exemple, on a un arrêt sur une victime
07:33qui avait laissé dans sa boîte à gants la carte bleue avec le code sur un petit post-it.
07:38Là, c'est une négligence grave, ça paraît assez évident.
07:40Il y a des cas qui les témoignent, comme le cas que vous avez mentionné,
07:43qui est le cas du phishing ou hameçonnage, donc cliquer sur un lien ou sur un SMS.
07:46Et là, la jurisprudence, la Cour de cassation est venue réaffirmer récemment
07:50qu'il s'agissait d'une négligence grave.
07:52Donc, c'est vraiment du cas par cas ?
07:54Il n'y a pas de tendance de fond pour tel ou tel type de fraude ?
07:57Alors, si, tout à fait.
07:59C'est au cas par cas, selon le comportement de la victime.
08:02Mais après, effectivement, par fraude, on a des tendances qui sont fixées par la Cour de cassation.
08:06Donc, en matière de phishing, la Cour de cassation vient dire qu'il s'agit d'une négligence grave.
08:11Donc, pour la dernière fois, le 15 janvier 2025, dans un arrêt, elle est venue dire...
08:14Et c'est assez particulier parce qu'en plus, c'était un phishing qui avait eu lieu au sein d'une entreprise.
08:19Les escrocs avaient envoyé un mail, un salarié avait cliqué dans un lien sur le mail.
08:24Mais il n'avait communiqué aucune coordonnée bancaire.
08:26Mais c'est uniquement le simple fait de cliquer qui avait permis à un cheval de trois d'intégrer l'ordinateur
08:29et d'illigenter des virements frauduleux.
08:31Donc, c'était un cas dans lequel la négligence n'était pas si évidente.
08:34Et la Cour de cassation est venue dire, dans ce cas-là, il y a une négligence grave.
08:37Il n'y a pas de partage de responsabilité.
08:39La banque n'est pas responsable.
08:40Et c'est l'entreprise qui doit assumer entièrement la fraude.
08:44À l'inverse, dans un cas qui est le cas du spoofing, que j'ai mentionné en introduction,
08:50où c'est un conseiller, enfin un escroc qui se fait passer pour un conseiller bancaire
08:55et qui fait passer à la victime des opérations de paiement.
08:58Dans ce cas-là, la Cour de cassation indique de façon constante
09:00que le fait de faire des virements à la demande de quelqu'un qui se fait passer pour un conseiller bancaire
09:04n'est pas une négligence grave.
09:06On va conclure là-dessus.
09:07Merci Marie Polygone.
09:08Je rappelle que vous êtes cofondatrice associée au sein du cabinet Erigone.
09:12Tout de suite, on change de registre.
09:14On va parler philanthropie avec la fondation LexCase pour la protection de l'environnement.
Commentaires